Das neue KDG

Gestern war ich auf einer Fortbildung der Fortbildungsakademie des deutschen Caritasverbandes in Frankfurt.
Der Titel lautete „Aus dem KDO wird KDG“.

Einen aktuellen Entwurfstext des KDG haben wir leider nicht zu sehen bekommen. Der soll erst in der zweiten Novemberhälfte öffentlich gemacht werden, wenn er von den verantwortlichen Gremien verabschiedet worden ist.

• Herr Pau Diözesandatenschutzbeauftragter für die NRW Bistümer hat aber einiges zu den neuen Inhalten, soweit es die Entwurfsfassung betrifft, mitgeteilt.
•  Es wird weiterhin eine Verpflichtung auf da Datengeheimnis geben (wohl § 5 KDG). Die bisherigen Verpflichtungserklärungen müssen aber nicht erneuert werden.
• Das KDG wird wohl schon Anfang des Jahres gültig werden. Man wird aber bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten eine großzügigere Umsetzungszeit vorsehen.
• Es wird eigene Bußgeldvorschriften geben. (Ich kann mir aber rechtlich nicht vorstellen, dass es möglich ist, dass sich diese auch gegen natürliche Personen (Mitarbeiter) richten zu können).
• Generell wird es keine großen Abweichungen zur DSGVO geben, so wird es auch eine Meldepflicht bei Datenpannen geben.
• Ob es auch das Institut der „Gemeinsamen Verantwortlichkeit“ geben wird, konnten man mir nicht sagen.
• Die Frage, ob für bestehende Vorabkontrollpflichtige Verarbeitungen eine Datenschutz-Folgeabschätzung nachzuholen ist, ist noch nicht entschieden.

Im zweiten Teil des Tages hat Herr Mülot (externer DS-Berater) etwas zur Umsetzung des Datenschutzes nach der DSGVO vorgetragen. Besonders interessant finde ich, dass er einen sehr umfangreichen Maßnamenplan entworfen hat, der zukünftig über das Carinet Datenschutzmodul verfügbar sein wird (nach Erlass des KDG). Es wird dort auch eine neue Mitarbeiterschulung geben.

Am Rande der Veranstaltung wurde auch die veröffentlichte Entscheidung zu WhatsApp im kirchlichen Umfang angesprochen. Weitere schriftliche Ausführungen zu dieser Entscheidung gibt es nicht. Aus rechtlicher Sicht konnte man nach Herrn Pau aber zu keiner anderen Stellungnahme kommen. Dabei stellte er allein auf die Weitergabe der Kontaktdaten der Telefonbücher ab (die man beim iPhone zumindest abschalten kann). Die gemeinsamen Entscheidungen der Diözesandatenschutzbeauftragten haben keinen eigenen Rechtssetzungscharakter, man kann sich aber darauf verlassen, dass alle Beauftragten sich daran orientieren werden. Momentan werden diese noch nicht zentral veröffentlich.

Soviel In Kürze Ihr
Michael Bock